是時候了嗎?次世代資安指揮中心SOAR與NOC的整合性探討

Security operations center (SOC)資安維運中心與Network operations center (NOC)網路維運中心團隊過往負責資訊系統的安全性與穩定性。NOC專注在營運的可用性與組織人員的使用需求維護，而SOC協助組織監控Cybersecurity資訊安全威脅方面的相關事件處理。執行SOC事件響應時，安全人員經常需控管可能感染的端點與網路設備並詳加檢查其電腦活動以確認影響範圍，此舉也經常會同步降低NOC人員所維護的營運系統可用性問題。

盡管彼此有不少維運上的協調問題，不可否認的整合SOC-NOC確有其許多優勢，兩者皆需要依據事件的嚴重性快速進行Incident Response並且合力完成事件的響應與相關修補的機制patching等。兩個團隊若缺乏彼此的可視性、溝通、行動告知等，將造成雙方維運上的困難與挑戰，此時SOAR整合雙方的playbook情境劇本將能有效的於其中扮演重要的角色。

自然交疊的SOC與NOC維運中心服務

SOC與NOC向來有許多相關的特性，如果是SMB中小型企業，通常為混合型的團隊，而即使是大型企業建立專門的SOC與NOC維運中心，仍然有許多重複與相似的作業流程。

兩個團隊皆運用Ticketing系統協調內部人員作業管理需求、執行組織內部政策的運行原則，也同樣需要Incident Response調查Alert告警事件與解決營運安全上的挑戰。資安事件可能導致網路運行的異常以及可用性問題，許多時候事件影響的權責橫跨兩個單位的管理範圍。SOC團隊也相當依賴NOC人員執行資安事件的響應作業，譬如網路系統的弱點漏洞修補或防火牆政策規則的阻擋調整等。

從這些實際的兩個組織交疊運作流程中，就如同Gartner report的整合建議，Tier 1事件監控將會是SOC/NOC通力合作上一個很好的契機，其對應的組織權責功能非常雷同於兩個團隊的作業。

[i]Gartner’s research report, When Should a SOC Include NOC Functions and Responsibilities?

SOAR次世代資安指揮中心與NOC的整合性

SOAR通常伴隨著SIEM解決方案共同運行，然而其所能協助組織的能力不僅止於資安事件，同樣能支援IT營運團隊的相關作業流程，涵蓋NOC的日常維運Operation。

Gartner report中提及目前已有一些企業使用SOAR為其組織的中央統一作業平台來執行相關的Ticketing/Workflow/Configuration/Security Operation等。因為SOAR能處理IT營運的Use cases如Infrastructure monitoring、Application Performance monitoring以及troubleshooting等作業，其具備協調整合SOC與NOC中間難以畫分的界線，並可居中執行兩邊維運中心的任務需求。

值得思考的導入效益

Gartner report建議有規劃整合SOC與NOC的組織單位，應主動去評估哪些使用情境適合雙方Incident事件的workflow整合以及建議的日常作業流程。類似的案例像NOC的downtime或lagging慢速問題也都有可能出自於安全事件的影響，應試著優先整合此類常見的應用情境。

強化SOC/NOC的整合需要兩個團隊重新思考彼此過往的合作模式，除了各自團隊的不同目標與優先事項外，也要能考量在流程上如何能縫合兩邊成一個團隊的運作模式。SOAR的自動化工作流程能自然地協助組織跨團隊合作，因此在導入的過程中，建議兩邊共同查看相關作業的制定如何可以透過SOAR來進行。

Gartner整理列出整合SOC/NOC的相關效益

• 縮短事件響應時間與快速修補發現的漏洞

• 減少重複性資料的產生以降低昂貴的資料儲存預算

• 改善跨組織的溝通與合作模式

• 增進雙方的可視性與易於權責劃分

Gartner同時也列舉出一些公司目前不選擇整合SOC與NOC的可能原因

• 缺乏足夠的專員與專家領域知識

• 預算限制考量

• 管理階層尚無法達成共識

• 許多進行中的專案可能會因此需改變流程作法面臨挑戰

SOC與NOC的整合模式

D3 SOAR資安協調自動化響應平台的設計不僅止於資安使用情境，其能完整支援IT環境中Incident的Life Cycle，協助組織快速響應的端到端解決方案。

如果組織完成整合SOC與NOC團隊，D3可以促成中央化Security與IT的告警、分析與響應的集中平台，D3的情境劇本(playbook)提供端到端支援，不論其為Security亦或IT的事件，皆能呈現原生的資料視覺化圖形與自動協調各類第三方偵測與資料來源operation的運作。

如果組織的SOC與NOC團隊為跨部門合作非團隊整合，D3可以提供兩邊團隊各自的存取權限與設計的情境劇本，彼此不會受到任何影響也可使用相同的平台。NOC團隊可以支援其ITOps的Incident處理流程並且將相關的ticket等整合至其ITSM系統。

如同許多組織會將其SOC與NOC需求外包至Managed Service Provider(MSP)，D3可以協助MSSP業者整合其Tier 1,2,3資安與IT服務。D3提供Multitenancy應用與非常深入的存取控管權限機制，包含Dashboard/Playbook/Report等皆能針對不同客戶進行設計，MSSP業者也能藉由D3提供的自動化協調響應機制來達成其資源成本的有效運用。

無論您組織內有無SOC與NOC團隊，亦或一些相關的服務提供需求，SOC/NOC的整合是值得被探討的，這其中D3 SOAR協調自動化響應平台將能適當的發揮功效，扮演加速事件處裡的有效應對角色。

[i] When Should a SOC Include NOC Functions and Responsibilities?, Schneider, Corbett & Shoard, November 17, 2020.

深入了解關於次世代資安維運中心：D3 Security

如有任何資安相關需求，歡迎隨時與我們聯絡！

www.iSecurity.com.tw   |   (02) 7702-1088  | 數位資安系統股份有限公司